ezhick (ezhick) wrote,
ezhick
ezhick

Categories:

Изучаем вопросы интернет безопасности на примере приложения "Парковки Москвы"

В продолжение пятничного поста про использование в Парковках Москвы доменов третьего уровня, указывающих на сервера ОАО "Электронная Москва", однако находящихся вне контроля как самой ЭМ, так и других московских структур, публикую нарытую читателями занимательную информацию. При проверке сертификата на одном из этих доменов выявляется вот такая замечательная вещь:



Сертификат этот принадлежит американской корпорации Eyeline Communications Inc, одному из фигурантов моего большого поста про структуру распила денег на разработке программного обеспечения для АИС Единое Парковочное Пространство.

То есть в приложении Парковки Москвы уже не одна потенциальная дыра в безопасности - контроль над прописанными в коде доменами третьего уровня со стороны анонимного лица в США, а две - контроль за сертификатом на один из этих доменов тоже у иностранной компании. Со вторым доменом все тоже не гладко - выданный на него сертификат является так называемым Domain-validated certificate, то есть выдан без установления личности заявителя на основании наличия у заявителя контроля над доменом. Как мы помним, контроль за доменом был у сотрудника Eyeline Communications Inc Андрея Дерябина, а после анонимизации владельца домена находится у Jon Dow, адрес которого подозрительно совпадает с адресом Eyeline Communications Inc.



То есть Москвы, хоть Электронной, хоть какой, там, судя по всему, нет. И контроля над доменом тоже нет.

И вот теперь вопрос к специалистам - при такой комбинации факторов правильно ли я понимаю, что реализация атаки Man-in-The-Middle на эти серверы со стороны Eyeline Communications Inc путем перенаправления запросов от приложения на другой сервер путем изменения настроек доменов третьего уровня технически возможна?

Вот для наглядности схема текущего положения вещей:



Tags: eyeline, аис епп, гку ампп, парковки, электронная москва
Subscribe

Recent Posts from This Journal

  • Зампрефекта Мухлюев

    Зампрефекта СЗАО Муляева я теперь кроме как Мухлюевым называть не могу. Не прошло и пары месяцев с момента, как я его поймал на фиктивном сносе…

  • ФАС: ничего не вижу, ничего не слышу...

    Помните историю с жуликом Видяпиным, которого из-за грехов прошлого внесли в черный список ФНС, в результате чего он не мог быть внесен в ЕГРЮЛ как…

  • Заборы рухнут, и тогда...

    Застройщик незаконного элитного ЖК "Берег столицы" начал сносить забор, который был построен за границами участка застройки, на территории…

  • Абрамян + Карапетян + Собянин = Бабаян

    Вот что пишет в своей программе самомедвеженец в Мосгордуму Роман Бабаян: А теперь посмотрите видео, в котором "независимый" кандидата  Бабаян…

  • Ливневок нет, но вы терпите

    Просто факты, а потом иллюстрация того, как мэру Собянину и его прихвостням плевать на москвичей. 3,5 года назад на Мясницкой улице завершилось…

  • Дебилы дня с сайта Мэра Москвы

    Какой Мэр, такой и сайт. Какой сайт - такие на нем и авторы. Я даже не мог ржать, когда увидел этот заголовок. Нет, я до последнего хотел верить,…

  • Бабаянова победа

    Ничему жизнь не учит Романа Бабаяна, самомедвеженца от ЕР по 5 избирательному округу на выборах в Мосгордуму. Знает он, что каждое его слово я буду…

  • Суровая правда Романа Бабаяна

    Начали приходить ответы на запросы, которые мы отправляли за стеснительного Романа Бабаяна. Ответил орган, которому было проще всех -…

  • Графологическая экспертиза подписи Романа Бабаяна

    Я публично отстаиваю свою гражданскую позицию с примерно 2012 года. За это время меня ни разу не обвиняли в заказных публикациях. Были анонимные…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 14 comments